是时候遵守美国最新的生物识别隐私法：波特兰的私营部门面部识别禁令

戴维·J·奥伯利（David J. Oberly），生物识别隐私与数据隐私律师

在具有里程碑意义的举动中，俄勒冈州波特兰市最近颁布了禁令禁止使用私人实体使用面部识别技术，该实体于2021年1月1日正式生效。

波特兰条例延续了整个国家和城市的日益增长的趋势，颁布了针对面部识别技术的生物识别法。然而，与此同时，法律也是前所未有的，因为它比目前在书籍上的其他法律迈出了一步。私人的企业（而不是公共实体）。

面对这种责任范围不断增加的范围，将面部认可纳入其运营或打算在将来这样做的公司应采取积极的措施来制定和实施面部识别生物识别的合规计划，以确保持续遵守当今日益复杂的生物识别网络的持续遵守，以最大程度地降低风险。

波特兰私营部门面部识别技术禁令的关键要素

根据《波特兰条例》，“私人实体”被禁止在波特兰市边界内的任何“公共住宿场所”中使用面部识别技术。

该禁令以非常广泛的方式将“私人实体”定义为“任何个人，独资经营，合伙企业，公司，有限责任公司，协会或任何其他法人实体，无论有条理，

同样，由于该法令对“公共住宿地点的定义”的定义，该禁令本身的范围是广泛的，这是指法律的任何“向公共住宿，优势，设施或特权供应的地点或服务，无论是商品，服务，寄宿，娱乐，娱乐，运输还是其他方式”。

该禁令共同涵盖了所有类型的业务，包括银行，酒店，便利店，仅举几例 - 现在完全禁止出于任何目的使用面部识别。

处罚和执法

重要的是，该条例包含私人行动权，允许任何人“违反”法律“受伤”的任何人提起诉讼并收回“每天违反每天1000美元的$ 1,000”，以及在某些情况下的律师费。

这对于使用面部识别技术的公司意味着什么

虽然该条例的最直接结果是，绝大多数波特兰企业不再能够以任何方式或出于任何目的使用面部识别技术，而波特兰面部识别禁令有望对生物识别隐私的景观产生很大的影响。

最近，各州和城市从海岸到海岸，甚至联邦政府都加大了他们制定直接针对面部识别技术的立法的努力。但是，在波特兰条例之前，其他司法管辖区将其面部认可禁令的范围限制在公共部门，尤其是执法部门。另一方面，波特兰也将这种类型的生物识别隐私法规迈出了重要的一步，也将其应用于私营部门。

重要的是，波特兰在制定全面的私营部门禁令方面取得成功，可能会影响该国其他地区的立法者，试图在制定类似的法律方面，禁止私人实体使用面部识别或其他形式的生物识别技术。

同时，波特兰法律可能会为立法者提供强烈的鼓励，他们可能正在考虑对这项技术使用强大的要求和局限性的前景，但是他们没有完全通过禁令的胃口，可以通过与BIPA相似的严格监管来推动。

为了使事情进一步复杂化，面部识别最近在潜在的准确性和偏见问题上获得了大量的负面媒体覆盖范围。特别令人担忧的是，当今的技术在识别有色人种和女性的人方面的准确程度要少得多，从而造成了对少数群体的错误识别的增强风险。此外，面部识别也是该技术未公开和可疑用途的其他负面压力的目标。结合起来，这种持续的负面新闻报道只会增加对立法者对面部识别软件进行严格监管的压力，这要早就成为现实。

综上所述，很明显，在不久的将来，由于面部识别生物识别技术的使用将稳步增长（如果不是很大）。

合规提示

由于与使用面部识别技术相关的迅速扩大的责任风险，因此必须使用面部识别技术的公司投入必要的时间，努力和资源，以最大程度地减少责任的最大程度。

对于在波特兰开展业务的公司，应立即采取行动来确定是否使用任何形式的面部识别软件，如果是，该条例提供的任何有限的豁免是否可以兑现，以允许在2021年继续使用该技术。那些无法使用任何有限豁免的公司应立即使用所有面部识别软件。此外，这些公司还应评估是否可以实现任何替代技术来实现相同的目标，例如身份证，身份验证或安全性，因为使用了哪种面部识别。

同时，运营的公司外部波特兰的《应该通过建立生物识别隐私合规计划》采取积极的措施，以对预期的面部识别法提前一步，该法律规定使用这项技术，该法可能会在不久的将来在该国其他地区制定。特别是，公司应考虑以下内容：

- 准确性和偏见测试：由于面部识别软件可以产生以损害特定种族和种族群体的方式产生偏见的结果，因此应完成对面部识别技术的预部部署测试，以确保其在实时情况下使用之前的有效性和准确性。

- 隐私政策：制定公共可用，详细的面部识别特定隐私政策，其中包括最少的通知，即正在收集面部模板数据，以及有关使用面部模板数据的目的以及公司的时间表和准则，以保留此数据和销毁该数据的目的。

- 书面通知：提供书面通知（以收集任何面部模板数据的时间）清楚地告知个人，该公司正在收集，使用和/或存储面部模板数据；该数据将如何使用和/或共享；以及公司保留数据的时间长度，直到被销毁为止。

- 书面版本：在收集任何面部模板数据之前，请从所有个人中获取签名的书面版本，该数据允许公司收集/使用个人的生物识别数据，并将数据泄露给第三方出于业务目的。

- 选择退出：允许个人选择退出面部模板数据的收集。

- 数据安全：维护数据安全指标，以保护面部模板数据，该数据满足适用于公司给定行业的合理护理标准，并以与公司保护其他形式的敏感个人信息的方式相同或更具保护的方式保护面部模板数据。

- 关于将技术用于歧视目的的明确禁止：维护明确的政策，严格禁止员工，承包商或供应商使用面部识别技术，以非法歧视个人或个人群体。

结论

公司以安全有负责任的方式使用面部识别技术的能力已成为消费者和立法者的首要关注点。结果，近年来，全国各地专门针对面部识别的新法律稳步增长。

展望未来，随着其他城市，州和华盛顿特区希望对面部识别和其他类型的生物识别技术施加更大的监管，责任范围的范围只会进一步扩大。

因此，将面部识别技术纳入其运营或打算将来的公司（即使在当前不存在任何适用法规的司法管辖区）中采取积极措施来制定和实施面部识别生物识别符合计划，这些计划包括上面描述的原理和实践。

关于作者

大卫·J·奥伯利（David J. Oberly）是Squire Patton Boggs LLP辛辛那提办事处的律师，并且是该公司全球数据隐私，网络安全和数字资产实践的成员。戴维（David）是利用生物识别技术在运营中使用生物识别技术的公司的首选法律顾问，以当今适用的法律和监管合规义务全方位，并帮助公司导航不断发展的生物识别法律法律环境，以确保合规性和减轻风险。大卫还拥有丰富的经验和专业知识，可以在高风险，高曝光生物识别类诉讼中为所有行业的公司辩护，并具有丰富的经验和专业知识比帕特别是集体诉讼。此外，戴维还向公司提供有关在当今高数字世界中运营时出现的其他隐私，安全和数据保护问题的广泛建议。可以通过[email protected]与他联系。

免责声明：生物识别更新的行业见解是提交的内容。这篇文章中表达的观点是作者的观点，不一定反映生物识别更新的观点。